仮想デスクトップのログイン・プロセスはハッカーにとって非常に脆弱ですが、VDIのユーザー認証は、暗号化と2要素認証によって保護することができます。
ユーザーに物理的なPCを提供するということは、会社のシステムにPCでアクセスする必要があるということです。かつてはLAN経由でしかアクセスできませんでした。しかし、ここ10年で、従業員が自宅やインターネットに接続された場所で仕事をすることが一般的になってきました。
暗号化によるユーザー認証情報の保護
まず、ネットワークを監視しているオブザーバーが、VDI環境へのアクセスに使用しているユーザー名とパスワードを見ることができるというリスクがあります。実際のデータを監視できるのであれば、ユーザ名とパスワードを推測する必要はありません。インターネットのようなネットワーク経由で送信されるユーザ認証情報を保護するために、ユーザ名とパスワードが暗号化されていることを確認してください。すべての従業員が友好的であるわけではなく、ネットワーク内のすべての人が従業員であるわけではないことを忘れないでください。オフィス内であっても、すべてのネットワークは敵対的であると考えてください。
最も一般的な暗号化の形態は、ユーザーの証明書に基づくSSL接続です。SSLで最も重要な要素の1つは信頼です:あなたは証明書の発行者を信頼していますか?信頼を確立し、ユーザーが信頼できる証明書のみを受け入れることを許可することは、SSLを使用してパスワードを保護するための重要な要素です。
非常に信頼できるソースにSSL認証を使用しない場合、信頼できない証明書をユーザーが受け入れることを許可しなければなりません。内部ネットワークであっても、これは良い考えではありません。信頼できる証明書を導入し、暗号化された信頼できる証明書のみを使用するように強制することで、証明書だけでなくデータの盗聴を避けるようにしてください。
セキュリティコード
理解すべき重要な問題の1つは、パスワードはあまり安全ではないということです。パスワードリストの統計分析によると、ユーザーのパスワードの大部分は、文字と数字の組み合わせという非常に単純なものです。企業のウェブサイトからユーザ名を推測するのはそれほど大変な作業ではありませんが、ユーザ名はパスワードよりも推測が難しい場合があります。ユーザ名とパスワードを使ってインターネット経由でアクセスできるアプリケーションのクラックには、たとえ SSL 経由でしかアクセスできないアプリケーションであっても、それほど時間はかかりません。
暗号に追加するのに有効なのは、不安定な暗号か物理的なトークンという2つ目の暗号要素です。不安定なパスワードはライフサイクルが非常に短い。通常のパスワードは1ヶ月で期限が切れますが、不安定なパスワードは1分ごとに変わります。
その一例がRSAキーカードで、1分ごとに新しい6桁の番号が生成されます。ユーザーはシステムにログインするために、ユーザー名と新しく生成されたパスワードを1分ごとに入力しなければなりません。ハッカーがインターネットや覗き見で入手した不安定なパスワードは、1分以内に使用しなければなりません。その場合でも、正しいパスワードは一度しか受け付けられないため、ハッカーがパスワードを使用できるのは、ユーザーが使用した場合のみです。
物理タグはスマートカードのようなデバイスで、アクセスするにはVDIクライアントデバイスのリーダーに挿入する必要があります。トークンは通常、ユーザー名、パスワード、またはPINと組み合わせて使用されるため、トークンのみにアクセスすることはできません。つまり、トークンだけを盗んでも意味がありません。
もう1つの2要素認証メカニズムは、ユーザに揮発性パスワードを送信するか、またはユーザがログイン中に特定の番号にダイヤルすることにより、2つ目の認証要素として電話番号を使用することです。目的は、スマートカードがシステムにログインする前に、ユーザ名、パスワードまたはPIN、電話番号、RSAトークンを組み合わせることです。
VDIは本質的に安全なものではなく、テクノロジーをどのように実装するかがすべてです。まともなVDI製品であれば、エンドツーエンドの暗号化を提供し、2要素認証を可能にします。ユーザがログインする場所であればどこでも暗号化を有効にし、インターネット経由でのログインを許可するなど、攻撃のリスクが明らかであるかどうかにかかわらず、2要素認証を導入する必要があります。ほとんどのVDI製品には、ユーザーの接続方法に応じて異なる認証メカニズムを選択する機能があります。
